Tietoturvariskejä tekoälyllä ohjelmoimisessa
Julkaistu 2025-09-07
Ohjelmoiminen on hyvää aivojumppaa. Suurin osa ihmisistä ei ehkä tule tarvitsemaan koodaustaitoa koskaan, mutta ohjelmakoodin logiikan ymmärtämisestä ja sitä kautta myös tietoteknisten perusasioiden paremmasta hahmottamisesta voi olla hyötyä monelle sellaisellekin tietokoneen käyttäjälle, joka ei lopulta innostu touhusta sen enempää. Ja ainahan ongelmanratkaisutaitojen ja ajattelun kehittäminen on hyvästä, vai mitä?
Niin ohjelmoinnin kuin monen muunkin asian opettelemisessa olisi syytä aloittaa perusteista. Edistyneemmänkin koodin perustana ovat peruspalikat, joiden päälle on kasautunut syvällisempää osaamista opetteluun käytettyjen tuntien sekä yritysten ja erehdysten myötä. Eräänlaiseksi ohituskaistaksi on tässäkin aiheessa noussut tekoälyn hyödyntäminen.
Tekoäly voi olla toimiva apuväline koodin luomiseen ja tarkistamiseen, eikä itsellä tarvitse välttämättä olla mitään taitoja. Olen itsekin käyttänyt tekoälyä ohjelmoinnin apuna, mutta ilmiössä on myös omat ongelmansa. Vaikka tekoälyt on opetettu valtavalla määrällä dataa, ne eivät siitä huolimatta ole kaikkitietäviä ja erehtymättömiä. Tekoälyjen pitäisi ymmärtää olevan kielimalleja, jotka ymmärtävät ihmiskieliä ja tuottavat niitä – ja jotka saattavat hallusinoida vastauksissaan kertoen aivan puutaheinää. Lisäksi ne oppivat myös kielimallien, siis myös itsensä, tuottamasta materiaalista, mikä on melko huolestuttava kierre.
Potentiaalisia sudenkuoppia
Ohjelmakoodia pyydettäessä kielimalli pyrkii toteuttamaan käyttäjän pyynnön, mutta se ei todennäköisesti ota ehdotuksissaan huomioon tietoturvaa, mikäli sellaista ei ole erikseen pyydetty. Jos et kysy, et saa vastausta. Henkilö, jonka ohjelmointitaidot ovat yhtä kuin valmiin koodin pyytäminen tekoälyltä, ei todennäköisesti pysty ymmärtämään saamaansa koodia riittävän hyvin eikä analysoimaan muuten toimivaa koodia kriittisesti. On perin ikävää, jos ohjelmaan jää tietoturva-aukkoja, joita hyökkääjä pystyy hyödyntämään.
Pitäisi olla sanomattakin selvää, että arkaluontoisen tiedon syöttäminen joko tekoälylle tai tekoälyn koodaamaan ohjelmaan voi olla riski. Tekoäly tallentaa tiedon tietokantaansa, ja sieltä se voi mahdollisesti päätyä eteen päin tavalla tai toisella, esimerkiksi tekoälyn myöhemmin muille antamissa vastauksissa tai tietomurron yhteydessä. Henkilötietoja tai yrityssalaisuuksia käsiteltäessä on aina oltava äärimmäisen varovainen.
Esimerkki elävästä elämästä
Pitkään omaa kotisivuaan ylläpitänyt ja sen sittemmin lakkauttanut tuttavani pohdiskeli haluavansa rakentaa oman keskustelufoorumin tai vieraskirjan itse – tai siis tekoälyn avulla. Varoituksestani huolimatta vieraskirja oli pystyssä ja verkossa jo muutaman päivän kuluttua. Vaikka en ole kummoinen hakkeri, selvitin jo parissa minuutissa pelkästään nettiselainta käyttäen ja hiirellä klikkaillen sivustosta sellaisia asioita, joita minun ei olisi pitänyt vierailijana missään tapauksessa nähdä.
Onnistuin kaivamaan esiin poistetuiksi väitetyt vanhat blogikirjoitukset ja löysin vahingossa myös tiedon palvelinohjelmistosta versionumeroineen. Versiotiedon perusteella on helppo etsiä haavoittuvuuksia mahdollisesti päivittämättömään eli vanhentuneeseen ohjelmistoon. Kaiken kukkuraksi tekoäly oli kovakoodannut tietokannan osoitteen sivun lähdekoodiin, joka on aina julkinen ja luettavissa selaimilla, ja kun tiesin osoitteen, pystyin lukemaan tietokantaa kuin avointa tietokantaa. Kerroin löydöistäni tuttavalleni välittömästi ja jatkoin vielä tutkimustani.
En yllättynyt tippaakaan saatuani syötettyä vieraskirjaan koodia, joka tallentui tietokantaan ja päätyi lähdekoodin kautta nähtäväksi jokaisen vierailijan selaimessa. Mitähän joku osaavampi ja vihamielisempi kaveri olisi saanut aikaiseksi samassa ajassa tai parissa illassa? Kyseinen vieraskirja on sittemmin poistettu käytöstä.
Periaatteellinen tekoälyttömyys
Olen tehnyt näiden kotisivujen osalta päätöksen olla käyttämättä tekoälyä, vaikka muuten käytänkin ChatGPT:tä silloin tällöin. Jos en osaa toteuttaa jotakin ominaisuutta itse, etsin ohjeen hakukoneella. Jos en löydä ohjetta, jätän ominaisuuden tekemättä. Niin yksinkertaista se on. Päätökseni ei tosin perustu yksinomaan tietoturvaan, vaan tämä sivusto on vastalauseeni nykyaikaisten nettisivujen monimutkaisuudelle, raskaudelle ja seuranta-algoritmeille sekä tekoälyn pakottamiselle joka paikkaan.
Käyttäkää tekoälyä vastuullisesti, jos käytätte ollenkaan (ja jos sitä energiasyöppöä voi edes käyttää vastuullisesti), opetelkaa ohjelmoimaan itse, tehkää omat kotisivut. Siinä meikäläisen vinkit, joilla pääsee elämässä eteen päin tai kenties vain järjestään.